Schritt 7: Synchronizer-Zugriff aktivieren

Autorisierungstoken abrufen

Für die später in diesem Thema beschriebenen Apigee API-Aufrufe benötigen Sie ein Autorisierungstoken mit der Rolle "Administrator der Apigee-Organisation".

1. Wenn Sie nicht der Inhaber des Google Cloud-Projekts sind, das mit Ihrer Apigee Hybrid-Organisation verknüpft ist, prüfen Sie, ob Ihr Google Cloud-Nutzerkonto die Rolle roles/apigee.admin (Administrator der Apigee-Organisation) hat. Sie können die Ihnen zugewiesenen Rollen mit diesem Befehl prüfen:

   gcloud projects get-iam-policy ${PROJECT_ID}  \
     --flatten="bindings[].members" \
     --format='table(bindings.role)' \
     --filter="bindings.members:your_account_email"
   

   Beispiel:

   gcloud projects get-iam-policy my-project  \
     --flatten="bindings[].members" \
     --format='table(bindings.role)' \
     --filter="bindings.members:myusername@example.com"

   Die Ausgabe sollte in etwa so aussehen:

   ROLE
   roles/apigee.admin
   roles/compute.admin
   roles/container.admin
   roles/gkehub.admin
   roles/iam.serviceAccountAdmin
   roles/iam.serviceAccountKeyAdmin
   roles/meshconfig.admin
   roles/owner
   roles/resourcemanager.projectIamAdmin
   roles/servicemanagement.admin
   roles/serviceusage.serviceUsageAdmin

2. Wenn Ihre Rollen nicht roles/apigee.admin enthalten, fügen Sie Ihrem Nutzerkonto die Rolle Apigee-Organisationsadministrator hinzu. Verwenden Sie den folgenden Befehl, um Ihrem Nutzerkonto die Rolle hinzuzufügen:

   gcloud projects add-iam-policy-binding ${PROJECT_ID} \
     --member user:your_account_email \
     --role roles/apigee.admin

   Beispiel:

   gcloud projects add-iam-policy-binding my-project \
     --member user:myusername@example.com \
     --role roles/apigee.admin

3. Rufen Sie in der Befehlszeile die Anmeldedaten der gcloud-Authentifizierung mit dem folgenden Befehl ab:

   Linux / MacOS

   export TOKEN=$(gcloud auth print-access-token)

   Um zu prüfen, ob Ihr Token ausgefüllt wurde, verwenden Sie echo wie im folgenden Beispiel:

   echo $TOKEN

   Das Token sollte als codierter String angezeigt werden.

   Windows

   for /f "tokens=*" %a in ('gcloud auth print-access-token') do set TOKEN=%a

   Um zu prüfen, ob Ihr Token ausgefüllt wurde, verwenden Sie echo wie im folgenden Beispiel:

   echo %TOKEN%

   Das Token sollte als codierter String angezeigt werden.

Synchronizer-Zugriff aktivieren

So aktivieren Sie den Synchronizer-Zugriff:

1. Rufen Sie die E-Mail-Adresse des Dienstkontos ab, auf das Sie Synchronizer-Zugriff gewähren. Für Nicht-Produktionsumgebungen (wie in dieser Anleitung vorgeschlagen) sollte der Wert apigee-non-prod sein. In Produktionsumgebungen sollte der Wert apigee-synchronizer sein. Verwenden Sie den folgenden Befehl:

   Non-prod

   gcloud iam service-accounts list --project ${PROJECT_ID} --filter "apigee-non-prod"

   Wenn es mit dem Muster apigee-non-prod@${ORG_NAME}.iam.gserviceaccount.com übereinstimmt, können Sie dieses Muster im nächsten Schritt verwenden.

   Prod

   gcloud iam service-accounts list --project ${PROJECT_ID} --filter "apigee-synchronizer"

   Wenn es mit dem Muster apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com übereinstimmt, können Sie dieses Muster im nächsten Schritt verwenden.

2. Rufen Sie die setSyncAuthorization API mit dem folgenden Befehl auf, um die erforderlichen Berechtigungen für Synchronizer zu aktivieren:

   Non-prod

   curl -X POST -H "Authorization: Bearer ${TOKEN}" \
     -H "Content-Type:application/json" \
     "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \
      -d '{"identities":["'"serviceAccount:apigee-non-prod@${ORG_NAME}.iam.gserviceaccount.com"'"]}'
   

   Prod

   curl -X POST -H "Authorization: Bearer ${TOKEN}" \
     -H "Content-Type:application/json" \
     "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:setSyncAuthorization" \
      -d '{"identities":["'"serviceAccount:apigee-synchronizer@${ORG_NAME}.iam.gserviceaccount.com"'"]}'
   

   Wobei:

   • ${ORG_NAME}: der Name Ihrer Hybridorganisation.
   • apigee-non-prod${ORG_NAME}.iam.gserviceaccount.com oder
     apigee-synchronizer${ORG_NAME}.iam.gserviceaccount.com: Die E-Mail-Adresse des Dienstkontos.
3. Prüfen Sie, ob das Dienstkonto eingerichtet wurde. Rufen Sie mit dem folgenden Befehl die API auf, um eine Liste der Dienstkonten abzurufen:

   curl -X GET -H "Authorization: Bearer $TOKEN" \
     -H "Content-Type:application/json" \
     "https://apigee.googleapis.com/v1/organizations/${ORG_NAME}:getSyncAuthorization"
       

   Die Ausgabe sieht dann ungefähr so aus:

   Non-prod

   {
      "identities":[
         "serviceAccount:apigee-non-prod@my_project_id.iam.gserviceaccount.com"
      ],
      "etag":"BwWJgyS8I4w="
   }

   Prod

   {
      "identities":[
         "serviceAccount:apigee-synchronizer@my_project_id.iam.gserviceaccount.com"
      ],
      "etag":"BwWJgyS8I4w="
   }

Sie haben jetzt festgelegt, dass Ihre Apigee Hybrid-Laufzeit- und -Verwaltungsebenen miteinander kommunizieren können. Als Nächstes wenden Sie Ihre Konfiguration auf die Hybrid-Laufzeit an und schließen die Installation von Apigee Hybrid ab.

1 2 3 4 5 6 7 (WEITER) Schritt 8: Hybrid-Laufzeit installieren 9 10